Zasoby z certyfikatami SSL - miejsce w drzewku katalogów

Marcin Bohosiewicz marcus w kernel.pl
Pon, 18 Mar 2002, 23:56:36 CET 

On Mon, 18 Mar 2002, Tomasz Kłoczko wrote:

> 
> Tak się zastanowiłem że w zasadzie obecnie wprowadzone umiejscoweienie 
> zasobów z dostarczanymi z dystrybucja certyfikatami jest ciut niepoprawne. 
> W przypadku współdzielenia /usr np. po NFS bęndzie to współdzielone nie 
> koniecznie tak jak powinno być. Otóż w takim przypadku moze sie pojawić 
> posługiwanie sie różnym zestawem certyfikatów w grupie maszyn. O ile tak 
> jest to powinniśmy zmienić obecne /usr/share/ssl/ca-bundle.crt na lokacje 
> w e /etc. Z razji tego że potencjalnie zakawałek mozan się spodziewać że 
> jednak ktoś wprowadzi poprawkję na openssl bazujacą na tym co jest w 
> cronach umozliwiajacą pzrecjhowywanie certyfikatów w nie wpliku tylko w 
> plikach z wybranego katalogu to logicznym byłoby zmiana lokacji na 
> /etc/ssl.d/ca-bundle.crt.
> Wszystko to przy założeniu, że w przypadku współdzielenia /usr nie 
> koniecznie powinno to powodować współdzilenie wpsólnej bazy certyfikatów w
> grupie maszynek .. no i tego założenia nie jestem wałaśnie pewien.
> 
> koments ?

1. Katalog /etc/certs.d/*
2. Pliki (nie 1 plik) z certyfikatami - z tego co rozmawialismy
przez telefon poprawka niezbedna dla openssla placze sie gdzies w 
okolicach naszych crondemonow.
3. do tego pakiety openssl-cert-<nazwa_CA> z certyfikatami,
gdzie w %verifyscript mozna (a nawet trzeba, wtedy tylko dostarczanie 
certyfikatow ma sens) dodac sprawdzanie autentycznosci
certyfikatu w danym CA poprzez rpm -V. Padl jeszcze pomysl, zeby pakiety
z certyfiaktami obecne na naszym ftp byly _podpisane_ przez CA.

Wtedy to ma sens, my dostarczamy certyfiaktow i narzedzi umozliwiajacych
ich weryfikacje, a CA moga rowniez same dostarczac pakiety z 
certyfikatami, my przygotowalismy tory, CA wprowadzily pociagi.

Jutro napisze cos wiecej, ale Macintosh G4 na pierwsza komercyjna 
instalacje portu PLD na PPC czeka i dopomina sie rpmow ;)

M.

-- 
-| == Marcin Bohosiewicz - MB8042-RIPE - marcus w kernel.pl	== |-
-| == tel. +48 601 485097 - PLD Team   - marcus w pld.org.pl      == |-
-| == http://www.kernel.pl/ -          ftp://ftp.kernel.pl/     == |-
-| == PLUG - Sad Kolezenski  -         http://www.linux.org.pl/ == |-

Więcej informacji o liście dyskusyjnej pld-devel-pl